Jump to content

Подскажите как составить фильтр для NetFlow

ThreeDHead
 Share

Recommended Posts

ThreeDHead

ThreeDHead

Posted
Posted

Есть сотня записей IP+PORT (это абоненты в локалке), есть некое количество внешних сетей IP/MASK

Нужно выбрать пакеты из внешних сетей IP/MASK на локальные IP+PORT

 

Проблема в том, что надо это все сделать за один проход.

 

Вот пример фильтра, как это сделать для одного локального IP+PORT:

filter-primitive abonent-port
type ip-port
permit 12345
default deny

filter-primitive abonent-ip
type ip-address
permit 10.1.2.3
default deny

filter-primitive only-selected-inet-nets
type ip-address-prefix
permit 1.1.0.0/16
permit 2.2.0.0/16
permit 3.3.0.0/16
default deny

filter-definition from-inet-to-local
match ip-destination-address abonent-ip
match ip-destination-port abonent-port
match ip-source-address only-selected-inet-nets

 

А для всех сразу как?

agr

agr

Posted
Posted

для каждого абонента сделайте два filter-primitive и лепите в filter-definition через слово or дополнительные условия.

 

и IP и PORT строго уникальны? не может быть одного PORT с несколькими IP? Если может, то можно не на каждого абонента примитивы делать, а саггрегировать по портам.

ThreeDHead

ThreeDHead

Posted
  • Author
Posted

для каждого абонента сделайте два filter-primitive и лепите в filter-definition через слово or дополнительные условия.

 

и IP и PORT строго уникальны? не может быть одного PORT с несколькими IP? Если может, то можно не на каждого абонента примитивы делать, а саггрегировать по портам.

Порты у локальных IP могут пересекаться, но не факт.

Сделали такое решение - опускаем порт вообще и фильтруем по фильтру "Сети->IP", а потом "тупым" перебором отсеиваем все IP, у которых не совпадает связка IP+PORT, ибо этих связок не более тысячи и скрипт обрабатывает их с легкостью.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.